Öffnen Sie Ihren Gmail-Posteingang und scrollen Sie durch Ihre E-Mails. Neben einigen sehen Sie farbige Markenlogos—das Netflix 'N', das LinkedIn-Icon, das Logo Ihrer Bank. Andere zeigen nur ein generisches Initial oder eine graue Silhouette. Welchen E-Mails vertrauen Sie instinktiv mehr?
Diese Logoanzeige ist nicht zufällig, und es ist nicht einfach Gmail, das irgendwo Bilder zieht. Es ist BIMI—Brand Indicators for Message Identification—ein Standard, mit dem Domaininhaber festlegen können, welches Logo neben ihren authentifizierten E-Mails erscheinen soll.
BIMI ist das neueste Teil im Puzzle der E-Mail-Authentifizierung und unterscheidet sich in einem wichtigen Punkt von SPF, DKIM und DMARC: Es geht nicht direkt um Sicherheit. Es geht darum, Ihre Sicherheitslage zu nutzen, um Markenbekanntheit und Vertrauen aufzubauen. Betrachten Sie es als die Belohnung dafür, E-Mail-Authentifizierung richtig umzusetzen.
Wie BIMI funktioniert
Die Funktionsweise von BIMI ist unkompliziert. Sie veröffentlichen einen DNS-Eintrag, der auf Ihre Logodatei verweist. Wenn ein unterstützter E-Mail-Client eine authentifizierte E-Mail von Ihrer Domain empfängt, ruft er Ihren BIMI-Eintrag ab, lädt das Logo und zeigt es neben der E-Mail an.
Der Haken: BIMI funktioniert nur, wenn Ihre E-Mail DMARC mit einer Richtlinie von quarantine oder reject besteht. Wenn Sie noch bei p=none sind oder wenn die betreffende E-Mail die Authentifizierung nicht besteht, gibt es kein Logo. Das ist Absicht—BIMI ist als Vertrauensindikator konzipiert, und dieses Vertrauen ist bedeutungslos, wenn jeder beliebiges Logo anzeigen kann.
Das Logo selbst muss im SVG-Format vorliegen, genauer gesagt SVG Tiny Portable/Secure (SVG P/S). Das ist eine eingeschränkte Teilmenge von SVG, die eingebettete Skripte oder externe Referenzen verhindert—Sicherheitsmaßnahmen, um zu vermeiden, dass das Logo selbst zum Angriffsvektor wird. Die Logodatei Ihres Marketing-Teams liegt wahrscheinlich nicht in diesem Format vor; Sie müssen sie konvertieren.
Einige E-Mail-Provider (insbesondere Gmail) verlangen außerdem ein Verified Mark Certificate (VMC) von einer Zertifizierungsstelle. Das fügt eine weitere Verifizierungsschicht hinzu—die CA bestätigt, dass Sie tatsächlich die Markenrechte an dem Logo besitzen, das Sie anzeigen möchten. Das bedeutet zusätzliche Kosten und Aufwand, verhindert aber, dass jemand eine ähnlich aussehende Domain registriert und Ihr Logo anzeigt.
Der Business Case für BIMI
BIMI erfordert Aufwand: DMARC-Durchsetzung, Logovorbereitung, eventuell ein VMC. Lohnt sich das?
Die Daten sprechen dafür, zumindest für Marken, die ein hohes E-Mail-Volumen versenden. Studien zeigen, dass E-Mails mit BIMI-Logos höhere Öffnungsraten erzielen—einige Berichte nennen Verbesserungen von 10% oder mehr. Das ist intuitiv plausibel: Ein wiedererkennbares Logo in einem überfüllten Posteingang zieht den Blick auf sich und signalisiert Legitimität.
Es gibt auch einen defensiven Nutzen. Wenn Ihre Marke häufig von Phishern imitiert wird, hilft BIMI, dass Ihre legitimen E-Mails herausstechen. Empfänger lernen, auf das Logo zu achten; dessen Fehlen wird zum Warnsignal. Sie trainieren Ihr Publikum gewissermaßen darin, Fälschungen zu erkennen.
Für B2B-Unternehmen signalisiert BIMI technische Reife. Wenn Sie an andere Unternehmen verkaufen, insbesondere in Tech- oder sicherheitsbewussten Branchen, zeigt die Umsetzung von BIMI, dass Sie E-Mail ernst nehmen. Es ist eine Kleinigkeit, aber Kleinigkeiten summieren sich beim Vertrauensaufbau.
Das Gegenargument: Die Unterstützung für BIMI ist noch begrenzt. Gmail und Yahoo unterstützen es; Microsoft pilotiert es; viele kleinere Provider tun es nicht. Wenn die meisten Ihrer Empfänger Outlook verwenden, könnte sich die Investition noch nicht lohnen. Doch die Unterstützung durch E-Mail-Clients wächst, und Frühadapter profitieren davon, aufzufallen, solange BIMI noch relativ selten ist.
BIMI einrichten
Bevor Sie beginnen, stellen Sie sicher, dass Ihre DMARC-Richtlinie auf p=quarantine oder p=reject steht und die Alignment-Raten gut sind. Ohne diese Grundlage funktioniert BIMI nicht. Wenn Sie noch auf DMARC-Durchsetzung hinarbeiten, schließen Sie das zuerst ab.
Als Nächstes bereiten Sie Ihr Logo vor. Es muss quadratisch, zentriert und in kleinen Größen funktionieren (es wird oft mit 40x40 Pixeln oder kleiner angezeigt). Die Datei muss im SVG Tiny P/S-Format vorliegen. Es gibt Online-Konverter, aber für beste Ergebnisse sollte ein Designer eine speziell für diesen Anwendungsfall optimierte Version erstellen.
Hosten Sie die Logodatei unter einer öffentlich zugänglichen HTTPS-URL. Diese URL wird in Ihrem BIMI-Eintrag verwendet, daher muss sie stabil und zuverlässig sein. Hosten Sie sie nicht auf einem Server, der ausfallen könnte, oder unter einer URL, die sich ändern könnte.
Wenn Sie Gmail anvisieren, benötigen Sie ein Verified Mark Certificate. Dazu benötigen Sie eine eingetragene Marke für Ihr Logo und müssen einen Verifizierungsprozess bei einer Zertifizierungsstelle wie DigiCert oder Entrust durchlaufen. Das Zertifikat ist nicht günstig (typischerweise $1.000+ pro Jahr), aber für die Anzeige in Gmail erforderlich.
Veröffentlichen Sie abschließend Ihren BIMI-DNS-Eintrag. Es handelt sich um einen TXT-Eintrag unter default._bimi.yourdomain.com, der Ihre Logo-URL und, sofern vorhanden, Ihre VMC-URL enthält. Das Format lautet: v=BIMI1; l=https://example.com/logo.svg; a=https://example.com/cert.pem
Nach der Veröffentlichung testen Sie, indem Sie E-Mails an Gmail- und Yahoo-Konten senden. Es kann einige Tage dauern, bis das Logo erscheint—es gibt Caching. Wenn es nach einer Woche nicht angezeigt wird, prüfen Sie Ihre DMARC-Alignment und verifizieren Sie, dass die Logodatei die Formatvorgaben erfüllt.
Die Zukunft von BIMI
BIMI entwickelt sich noch weiter. Der Standard ist relativ neu, und die Verbreitung wächst, ist aber nicht universell. Wie sieht die Zukunft aus?
Wahrscheinlich werden mehr E-Mail-Clients Unterstützung hinzufügen. Der Pilot von Microsoft deutet darauf hin, dass Unterstützung in Outlook kommt. Wenn BIMI für große Marken zum Standard wird, geraten kleinere E-Mail-Provider unter Druck, es ebenfalls zu implementieren.
Die VMC-Anforderung könnte sich weiter verbreiten oder gelockert werden. Derzeit verlangt nur Gmail sie, aber andere Provider könnten folgen. Alternativ könnten mit zunehmender Reife des Ökosystems günstigere Verifizierungsoptionen entstehen.
Es gibt auch Diskussionen darüber, BIMI über statische Logos hinaus zu erweitern—möglicherweise auf verifizierte Absendernamen oder andere Vertrauensindikatoren. Die zugrunde liegende Infrastruktur (DMARC-Durchsetzung plus DNS-basierte Assertions) könnte verschiedene Vertrauenssignale unterstützen.
Für den Moment ist BIMI für die meisten Organisationen ein Nice-to-have statt eines Must-have. Wenn Sie DMARC-Durchsetzung bereits erreicht haben, ist das Hinzufügen von BIMI mit relativ geringem Aufwand verbunden und bringt einen spürbaren Markennutzen. Und wenn Sie DMARC-Durchsetzung noch nicht erreicht haben, ist BIMI ein weiterer Grund, dieses Projekt zu priorisieren.
Frequently asked questions
Funktioniert BIMI in allen E-Mail-Clients?
Nein. Gmail und Yahoo Mail unterstützen BIMI. Apple Mail hat teilweise Unterstützung. Microsoft Outlook ist im Pilot. Viele kleinere E-Mail-Clients unterstützen es noch nicht. Prüfen Sie den aktuellen Stand der Unterstützung, bevor Sie stark investieren.
Brauche ich ein Verified Mark Certificate?
Für Gmail: ja. Für Yahoo und die meisten anderen unterstützenden Clients: nein—sie zeigen Ihr Logo ohne VMC an. Wenn Gmail einen erheblichen Anteil Ihrer Empfänger ausmacht, lohnt es sich, das VMC in Betracht zu ziehen.
Kann ich ein beliebiges Logo verwenden?
Das Logo muss im SVG Tiny P/S-Format vorliegen, quadratisch sein und auch in kleinen Größen erkennbar bleiben. Wenn Sie ein VMC bekommen, muss es einer eingetragenen Marke entsprechen. Sie können nicht einfach irgendein Bild verwenden.
Wie lange dauert es, bis BIMI funktioniert?
Nach dem Veröffentlichen Ihres DNS-Eintrags kann es aufgrund von DNS-Caching und Caching im E-Mail-Client mehrere Tage dauern, bis Logos erscheinen. Wenn es nach einer Woche nicht funktioniert, prüfen Sie Ihr DMARC-Alignment und das Logoformat.